Aviso de seguridad de Debian
xfs -- un enlace simbólico puede usarse para cambiar permisos de ficheros
- Fecha del informe:
- 31 de mar de 1999
- Paquetes afectados:
- xfs
- Vulnerable:
- No
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 359.
En el diccionario CVE de Mitre: CVE-1999-0434. - Información adicional:
- Algunas implementaciones de xfs asignan
incorrectamente los permisos de /tmp/.font-unix
incluso si esa localización es un enlace simbólico a otro
fichero. Debian 2.1 (slink) no es vulnerable a este
problema.
Esta página de ISS Security X-Force Alerts - xfree86-xfs-symlink-dos proporciona un buen resumen de la vulnerabilidad de xfs.
La vulnerabilidad se podía utilizar para cambiar los permisos del archivo /etc/shadow, tal y como se muestra en Neohapsis Archives (BugTraq) 1999 "bugs in xfs". InDenial BugTraq Archives - 1999 Mar "bugs in xfs" muestra la amenaza.